image

Ook VoIP-verkeer moet beschermd worden

dinsdag 21 februari 2006, 10:33 door Redactie, 0 reacties

Bedrijven in de hele wereld stappen massaal over op Voice over Internet Protocol, kortweg VoIP. Een logische ontwikkeling, gezien het feit dat ‘bellen via internet’ (op lange termijn) verregaande kostenbesparingen met zich meebrengt. Niet alleen op communicatievlak, maar ook wat betreft beheer en onderhoud. Het is tenslotte niet nodig om naast het IP-netwerk, ook een telefonienetwerk aan te leggen, te beheren en te onderhouden.

Tegelijkertijd is het mogelijk bestaande apparatuur te hergebruiken, wat investeringen beperkt. Toch kent de inzet van VoIP zeker niet alleen lusten. Het gebruiken van een internetconnectie voor spraakverkeer brengt ook een reëel beveiligingsrisico met zich mee. Een risico dat IT-afdelingen moeten incalculeren. Dit vergroot de noodzaak voor de inzet van beveiligingsoplossingen voor VoIP-communicatie.

Door Jos Nijsen, directeur Benelux van Internet Security Systems (ISS)

De cijfers over investeringen in VoIP spreken voor zich. Volgens Gartner besteden bedrijven in de Verenigde Staten dit jaar 903 miljoen dollar aan VoIP. In 2004 was dit nog 686 miljoen dollar. Het onderzoeksbureau verwacht dat in 2007 maar liefst 97 procent van de nieuwe telefoniesystemen in de Verenigde Staten VoIP of hybride (combinatie tussen VoIP en traditionele telefonie) zal zijn. Daarmee groeit ook het gevaar voor bedrijven die gebruik maken van deze vorm van communicatie. Zoals virussen e-mailverkeer verstoren en spyware internetgebruik onderschept, zijn er ook manieren om vertrouwelijke VoIP-communicatie af te vangen. Met alle risico’s van dien.

DoS-aanval
De risico’s van verstoord VoIP-verkeer komen het beste tot uiting in een voorbeeld. Stel dat mensen in nood het alarmnummer 112 bellen en er niemand opneemt omdat de verbinding eruit ligt? Dat is een ongewenste situatie die verstrekkende gevolgen kan hebben. Toch is dit risico reëel. Zo kunnen hackers een Denial of Service-aanval (DoS) uitvoeren door gebruik te maken van SPIT, oftewel Spam over Internet Telephony. Minder dreigend, maar zeker schadelijk voor bedrijven, is als bijvoorbeeld het callcenter, dat communiceert via VoIP, met een dergelijke aanval wordt uitgeschakeld. Technische ondersteuning en sales liggen plat, wat resulteert in omzetverliezen en ontevreden klanten. VoIP-technologie wordt steeds vaker een onmisbaar onderdeel van de bedrijfsvoering, net zoals webservers, e-mail en databases dat al zijn. De beveiliging van deze bedrijfskritische onderdelen is over het algemeen redelijk tot goed geregeld. Datzelfde geldt voor het toekennen van bandbreedte om de continuïteit van deze elementen te garanderen. VoIP blijft in de beveiligings- en continuïteitstrategie vooralsnog achter.

Complexe combinatie
Het concept van VoIP is relatief eenvoudig. Door het internet te gebruiken als transmissiemedium, in plaats van de traditionele circuittransmissies van het publieke telefonienetwerk, is het mogelijk te bellen via het internet. De technologie achter VoIP is echter een complexe combinatie van protocollen, applicaties en apparatuur. Bij het plannen van een nieuwe implementatie of het uitvoeren van risicoanalyses voor bestaande technologie, moet er met al deze elementen rekening worden gehouden.

Dezelfde beveiligingsrisico’s
Beveiligingsbedreigingen voor VoIP zijn in twee categorieën in te delen. De eerste omvat de individuele systemen en componenten waarvan VoIP-communicatie afhankelijk is, de systemen en servers. De tweede categorie bestaat uit specifieke bedreigingen van de VoIP-technologie zelf. Omdat VoIP-pakketten worden getransporteerd over het netwerk en het internet zijn ze onderhevig aan dezelfde beveiligingsrisico’s als die van het netwerk en het netwerkverkeer. Deze omvatten onder andere e-mail-, software-, netwerk- en IP-protocollen (H.323, SIP, RTP, TCP/UDP et cetera), zwakke serverconfiguraties en zwakheden in het besturingssysteem.

Levendige handel
Hackers waren tot voor kort vooral uit op de kick. Steeds vaker breken criminelen echter in op (bedrijfs)systemen voor geldelijk gewin. Zo is er momenteel een levendige handel in zakelijke data, en de verwachting is dat deze alleen maar zal toenemen. Ook VoIP-verkeer loopt het risico om te worden onderschept en doorverkocht. Het gaat in telefoongesprekken tenslotte vaak om bedrijfskritische informatie of afspraken. Beveiliging van VoIP-communicatie is dan ook essentieel om er zeker van te zijn dat informatie niet in verkeerde handen valt.

VoIP-protocollen
Aanvallen op VoIP-verkeer kunnen plaatsvinden via het lokale netwerk of op afstand. Het is zaak er rekening mee te houden dat in het geval van een netwerkgebaseerde aanval niet alleen de integriteit van het netwerk, maar van de hele communicatie-infrastructuur in het geding is. Bedrijven die VoIP gebruiken, staan voor de uitdaging de betrouwbaarheid, integriteit en beschikbaarheid op peil te houden. Eén van de grootste verschillen tussen VoIP en een fysiek telefonienetwerk, is dat in het eerste geval de hacker zich overal in de wereld kan bevinden. Om ‘in te breken’ in VoIP-communicatie is het niet nodig fysieke toegang te hebben tot een apparaat op het netwerk. Het internet biedt als het ware een ‘rode loper’ voor kwaadwillenden.

Zwakheden in de verschillende VoIP-protocollen zijn te gebruiken om een phishing-, DoS- of datacorruptie-aanval te lanceren en kunnen leiden tot andere vormen van fraude en/of identiteitsdiefstal. VoIP-protocollen als H.225, Session Initiation Protocol (SIP), Simple Traversal of User Datagram Protocol (UDP), Q.931, H.245 en T.120 hebben allemaal hun eigen zwakheden en beveiligingsuitdagingen.

Quality of Service
Veel bedrijven gebruiken een beveiligingsmodel voor VoIP dat zich richt op bescherming op basis van bandbreedtebeheer, waaronder traffic shaping, het beperken van Quality of Service (QoS). De fundamentele zwakte in dit model is dat dezelfde beschermingsmethodieken ook worden gebruikt voor servicelevering. Dit kan leiden tot degradatie van de QoS. Juist voor VoIP-verkeer is een optimale QoS van groot belang. Voor ongestoorde spraakcommunicatie zonder vertraging is het essentieel dat VoIP voorrang krijgt op ander netwerkverkeer, zoals ftp of http. Daar komt bij dat hackers aanvallen zullen uitvoeren met dit ‘standaard’model in het achterhoofd.

Beveiliging van het VoIP- verkeer
Wat kunnen bedrijven dan doen om VoIP-verkeer optimaal te beveiligen? In ieder geval doen ze er goed aan om een goed opgebouwd assessment-plan op te stellen. Basisonderdelen in dit plan zijn de formering van een beveiligingsteam en de keuze voor een meerlagige beveiligingsoplossing. Een dergelijke oplossing biedt gemengde proactieve bescherming tegen zowel de bedreigingen van het traditionele datagedreven netwerkverkeer als van de onderliggende infrastructuur, apparatuur en protocollen die VoIP-datatransmissie ondersteunen. Van belang hierbij is dat deze bescherming geen effect heeft op de apparaten die de QoS garanderen. De inzet van een preventief systeem tegen bedreigingen en kwetsbaarheden, zowel bekend als onbekend, is ook het overwegen waard. Een dergelijk systeem minimaliseert het risico dat hackers een netwerk binnendringen. Daarnaast is het regelmatig uitvoeren van penetratietesten van het VoIP-systeem en andere bedrijfskritische netwerkcomponenten aan te raden. Deze aanpak biedt inzicht in de identificatie van zwakheden en adequate maatregelen.


Samenvattend
Iedere nieuwe technologielaag die bedrijven inzetten voor hun dagelijkse werkzaamheden brengt weer extra beveiligingsrisico’s met zich mee. Gelaagde platformen, de ontwikkeling van nieuwe software en appliances en het algehele gebrek aan geïntegreerde beveiliging vergroten de dreiging van VoIP-aanvallen. Het opnemen van deze relatief nieuwe communicatievorm in de beveiligingsstrategie is de eerste stap. Om vervolgens te kiezen voor een beveiligingsoplossing die VoIP-verkeer op diverse niveaus beschermt: infrastructuur, apparatuur én protocollen.

Vijf gouden regels voor veilig VoIP-gebruik

  • Zorg voor de inzet van voldoende beveiligingsmaatregelen, zonder de QoS uit het oog te verliezen.
  • Laat bij de keuze voor een beveiligingsproduct meewegen of dit VoIP-verkeer meeneemt in de beveiliging. Bijvoorbeeld perimeter-firewalls die gateway-technologie op de applicatielaag ondersteunen.
  • De implementatie van een krachtige authenticatie- en encryptie-aanpak vergroot de integriteit van de netwerkinfrastructuur en VoIP-communicatie.
  • Zorg voor krachtige toegangscontrole om gebruikers van de VoIP-infrastructuur te identificeren voordat ze toegang krijgen.
  • Het vergroten van kennis over protocollen leidt tot inzicht in hoe applicaties die deze protocollen gebruiken, samenwerken met andere beveiligingsoplossingen zoals firewalls.
Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.